关键信息摘要 漏洞概述 CVSS v4评分: 8.7 严重性提示: 可远程利用/攻击复杂度低 厂商: Brightpick AI 设备: Brightpick Mission Control / Internal Logic Control 漏洞: 缺少关键功能的认证、未保护的凭据传输 风险评估 成功利用这些漏洞可能导致敏感信息的暴露和关键功能的操纵。 技术细节 受影响的产品: Brightpick Mission Control / Internal Logic Control的所有版本。 漏洞概览 - 缺少关键功能的认证 CWE-306 - 描述: 未经身份验证的用户可通过Web界面操纵机器人控制功能。 - CVE: CVE-2025-64307, CVSS v3.1: 6.5, CVSS v4: 7.1 - 未保护的凭据传输 CWE-523 - 描述: 客户端JavaScript捆绑包中暴露了硬编码的凭据。 - CVE: CVE-2025-64308, CVSS v3.1: 7.5, CVSS v4: 8.7 - 设备中的 WebSocket 流量披露敏感信息 CWE-523 - 描述: 未经授权的用户可通过特定URL访问设备信息。 - CVE: CVE-2025-64309, CVSS v3.1: 8.6, CVSS v4: 8.2 背景 关键基础设施部门: 商业设施、关键制造业、医疗保健和公共健康。 部署国家/地区: 全球。 公司总部: 斯洛伐克。 研究人员 Souvik Kandar向CISA报告了这些漏洞。 缓解措施 最小化所有控制系统的网络暴露以确保不从互联网访问。 将控制网络和远程设备置于防火墙后,与业务网络隔离。 当需要远程访问时,使用更安全的方法,如VPN,并进行最新的安全更新。 更新历史 2025年11月13日:初始发布